HRIT.ch
MENTIONS LÉGALES

Protection des données.

Cette déclaration décrit quelles données personnelles nous traitons sur hrit.ch et dans le cadre de nos prestations, à quelles fins, pendant combien de temps et qui y a accès. Elle est conforme à la loi fédérale suisse sur la protection des données (revDSG / nLPD) et, le cas échéant, au Règlement général de l'UE sur la protection des données (RGPD).

Seule la version allemande de ce document fait foi.

1 · RESPONSABLE DU TRAITEMENT

Qui est responsable

Le responsable du traitement des données personnelles sur hrit.ch et dans le cadre de nos prestations est :

HRIT.ch GmbH

Ruhsitzweg 12, 9000 St. Gallen
Mail : hallo [at] hrit [dot] ch

Pour des demandes de renseignements, des rectifications, des effacements ou d'autres questions en matière de protection des données, vous pouvez nous joindre à tout moment à l'adresse e-mail indiquée. En raison de notre taille, nous n'avons pas désigné de délégué interne à la protection des données. L'interlocuteur pour les questions de protection des données est la direction.

2 · PRINCIPE

Ce que nous faisons, ce que nous ne faisons pas

Nous traitons aussi peu de données personnelles que possible, uniquement à des fins clairement délimitées, et les effaçons lorsque la finalité disparaît. Nous ne vendons pas de données personnelles. Nous ne constituons pas de données publicitaires ou de profilage personnalisées sur les visites de notre site web. Nous ne prenons pas de décisions individuelles automatisées produisant des effets juridiques ou notables au sens de l'art. 21 LPD ou de l'art. 22 RGPD.

3 · DONNÉES

Quelles données nous traitons

Lors de la visite du site web

Lors de l'accès à une page, des données techniquement nécessaires sont traitées : adresse IP (raccourcie), date et heure, URL consultée, référent, agent utilisateur.

Finalité : exploitation sécurisée (journaux, dépannage, prévention des abus).
Base juridique : intérêt légitime (art. 31 LPD / art. 6, par. 1, let. f RGPD).
Conservation : journaux du serveur 30 jours au maximum, puis effacement.

Lors de l'envoi du formulaire de contact

Nous traitons les indications issues du formulaire (nom, entreprise, e-mail, texte de la demande) ainsi que l'adresse IP au moment de l'envoi. Si vous activez l'option « m'envoyer un e-mail de confirmation », vous recevez une copie de votre demande à l'adresse e-mail indiquée.

Finalité : réponse à votre demande et éventuelle correspondance ultérieure.
Base juridique : mesure précontractuelle (art. 6, par. 1, let. b RGPD) ou intérêt légitime (art. 31 LPD / art. 6, par. 1, let. f RGPD).
Conservation : les demandes sont conservées aussi longtemps que nécessaire à la réponse et à une éventuelle correspondance ultérieure, 24 mois au maximum à compter du dernier contact. Elles sont ensuite effacées ou anonymisées.

Lors de candidatures spontanées par e-mail

Si vous nous envoyez une candidature, nous traitons les indications transmises (CV, lettre de motivation, certificats, coordonnées) exclusivement pour l'examen de la candidature.

Finalité : évaluation de la candidature, mesure précontractuelle.
Base juridique : mesure précontractuelle (art. 6, par. 1, let. b RGPD) ou intérêt légitime.
Conservation : en l'absence d'engagement, les dossiers de candidature sont effacés au plus tard 6 mois après la fin du processus de candidature. Une conservation plus longue dans un vivier de talents n'a lieu qu'avec votre consentement exprès.

Dans le cadre de mandats clients

Lorsque nous fournissons à des clients des prestations de conseil, de développement, de transition ou de maintenance et que nous traitons à cette occasion des données personnelles de collaborateurs ou de tiers de nos clients, nous agissons en qualité de sous-traitant au sens de l'art. 9 LPD ou de l'art. 28 RGPD. Le traitement a lieu exclusivement sur instruction documentée du client dans le cadre d'un contrat de traitement séparé (DPA).

4 · SOUS-TRAITANTS

Qui dispose d'un accès technique

Nous recourons aux prestataires suivants pour le traitement. Avec tous, les contrats de traitement nécessaires (DPA) et les garanties nécessaires pour un traitement adéquat des données sont en place.

  • Hébergement du site web
    Le site web fonctionne sur une plateforme cloud avec distribution en périphérie (edge). Région d'hébergement : Europe. Les données de journal sont traitées de manière raccourcie au niveau IP. Les prestataires figurent dans le registre des activités de traitement et sont nommés sur demande.
  • Envoi d'e-mails (Resend)
    Les e-mails issus du formulaire de contact (notification à notre intention, confirmation facultative à votre intention) sont envoyés via Resend. Resend conserve les métadonnées de l'e-mail pour la distribution. Prestataire : Resend, Inc., siège aux États-Unis avec une filiale dans l'UE. Le transfert de données vers les États-Unis repose sur l'EU-US Data Privacy Framework ou le Swiss-US Data Privacy Framework ainsi que sur des clauses contractuelles types complémentaires.
  • Statistiques (en option, anonymisantes)
    Le cas échéant, nous utilisons un traceur conforme à la LPD et anonymisant (p. ex. Plausible avec hébergement dans l'UE) qui n'utilise pas de cookies et ne constitue pas de profils personnels. Lorsque ce traceur n'est pas actif, aucune donnée statistique n'est collectée en conséquence.
  • Outils d'IA dans la fourniture des prestations
    Nous utilisons des outils d'IA pour la génération de code, la recherche et l'analyse. Les prestataires sont Anthropic (siège aux États-Unis, avec une option de résidence des données dans l'UE) et des services comparables. Nous configurons les options no-train lorsqu'elles sont disponibles et évitons de transmettre à ces services des données clients personnelles ou confidentielles, sauf garantie contractuelle.
5 · COMMUNICATION À L'ÉTRANGER

Transfert de données à l'étranger

Dans la mesure où nous transmettons des données personnelles à des prestataires à l'étranger, cela se fait vers des pays offrant un niveau de protection adéquat selon la liste du Préposé fédéral à la protection des données et à la transparence (PFPDT / EDÖB).

Pour les transferts vers les États-Unis, nous nous fondons sur :

  • Le Swiss-US Data Privacy Framework (pour les cas suisses)
  • L'EU-US Data Privacy Framework (pour les cas relevant du RGPD de l'UE)
  • Des clauses contractuelles types (CCT) complémentaires de la Commission européenne
  • Des mesures techniques et organisationnelles de chiffrement et de minimisation des données
6 · COOKIES

Cookies et technologies similaires

Nous utilisons exclusivement des cookies techniquement nécessaires, voire aucun. Concrètement, les cookies suivants peuvent apparaître :

  • Cookie de session (nom : variable, durée de vie : session, finalité : fonction technique de la page)
  • Préférence de cookies (si une bannière de cookies est active, durée de vie : 12 mois, finalité : enregistrement de vos réglages de cookies)

Nous n'utilisons pas de cookies de suivi, pas de profilage, pas de reciblage publicitaire. Si des cookies non essentiels devaient être utilisés à l'avenir, nous recueillons au préalable votre consentement au moyen d'une bannière de cookies. Vous pouvez révoquer votre consentement à tout moment.

7 · VOS DROITS

Quels sont vos droits

Selon la LPD suisse (art. 25 ss) et le RGPD (art. 15 ss), le cas échéant, vous avez le droit :

  • d'accès aux données traitées vous concernant (art. 25 LPD / art. 15 RGPD)
  • de rectification des données inexactes ou incomplètes (art. 32 LPD / art. 16 RGPD)
  • d'effacement des données qui ne sont plus nécessaires (art. 32 LPD / art. 17 RGPD)
  • de limitation du traitement (art. 18 RGPD)
  • de remise ou de portabilité des données dans un format courant (art. 28 LPD / art. 20 RGPD)
  • d'opposition aux traitements fondés sur des intérêts légitimes (art. 30 LPD / art. 21 RGPD)
  • de révocation d'un consentement avec effet pour l'avenir
  • de réclamation auprès de l'autorité de surveillance compétente

Adressez vos demandes sans formalité par e-mail à hallo [at] hrit [dot] ch. Pour vérifier votre identité, nous pouvons poser des questions complémentaires. La réponse intervient en principe dans les 30 jours.

Autorité de surveillance Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT / EDÖB), Feldeggweg 1, 3003 Berne, www.edoeb.admin.ch.

8 · SÉCURITÉ

Mesures techniques et organisationnelles

Nous prenons des mesures techniques et organisationnelles adéquates pour protéger les données personnelles que nous traitons :

  • Chiffrement du transport (TLS) pour toutes les pages et les envois de formulaires
  • Chiffrement des données au repos (at rest) chez les prestataires d'hébergement et de messagerie
  • Contrôle d'accès selon le principe du besoin d'en connaître, comptes individuels, authentification multifacteur
  • Contrôle régulier des vulnérabilités des composants utilisés et mises à jour
  • Engagement contractuel des prestataires à des standards équivalents de sécurité et de protection des données
  • Sensibilisation et formation des collaborateurs à la protection des données et à la sécurité de l'information
  • Sauvegarde des données avec des sauvegardes chiffrées et des délais de restauration définis
9 · VIOLATIONS DE DONNÉES

Procédure en cas de violation de la protection des données

En cas de violation de la protection des données présentant un risque élevé pour les personnes concernées, nous signalons l'incident dans le délai légal (art. 24 LPD : « dans les meilleurs délais » ; art. 33 RGPD : 72 heures) au PFPDT ou à l'autorité de surveillance compétente de l'UE et informons les personnes concernées dans la mesure prévue par la loi.

Pour les incidents survenant dans le cadre de notre traitement sur mandat, nous informons le client sans délai conformément aux dispositions du contrat de traitement concerné.

10 · ÉTAT

Date d'entrée en vigueur et version

Version 2026-06-08. Cette déclaration s'applique à compter de sa publication sur hrit.ch. En cas de modifications importantes, nous adaptons la déclaration et le communiquons sur la page d'accueil. La version en vigueur se trouve sur cette page.